Seit dem 14. September ist die zweite Stufe der EU-Zahlungsrichtlinie PSD2 in Kraft getreten. Damit gelten in Europa für das Onlinebanking und das Bezahlen mit Kreditkarte im Internet neue und einheitliche Standards. Verbraucher sind nun noch besser vor Betrugsversuchen geschützt.
Neu sind auch Regeln für die Zugriffsberechtigung von Drittdienstleistern auf das Bankkonto eines Kunden im Rahmen des Online-Bankings. Jeder Kunde muss dafür vorher ausdrücklich zugestimmt haben, damit Drittanbieter auf bestimmte Daten seines Kontos zugreifen dürfen. Ohne diese Zustimmung führt die Bank keine Zahlung im Rahmen des Online-Bankings durch. Darüber hinaus muss der Drittanbieter bei seiner nationalen Aufsichtsbehörde registriert sein. In Deutschland ist das die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Starke Kundenauthentifizierung
Die neuen Sicherheitsstandards für das Online-Bezahlen und beim Einkaufen im Internet mit der Kreditkarte sind vor allem Bestimmungen zur sogenannten starken Kundenauthentifizierung. Oft wird sie auch Zwei-Faktor-Authentifizierung genannt. Das bedeutet, dass sich jeder Kunde beim Onlinebanking oder beim Shoppen im Internet durch zwei voneinander unabhängige Merkmale identifizieren muss. Zu diesen Merkmalen gehören solche, die der Kategorie „Wissen“ zugeordnet werden können. Das sind beispielweise das Passwort oder die PIN. Biometrische Daten wie der Fingerabdruck oder die Stimmidentifikation sind eine zweite Möglichkeit der Authentifizierung, auch „Inhärenz“ genannt. Als dritte Identifikationsmöglichkeit gelten Merkmale der Kategorie „Besitz“. Dazu zählt neben der Zahlungskarte auch eine mit dieser generierte TAN oder ein für TAN-Erzeugung registriertes Smartphone.
So erhalten Verbraucher ihre TAN
Damit gibt es verschiedene – meist schon bekannte – Kombinationsmöglichkeiten für den Verbraucher, sich zu identifizieren. Transaktionen werden wie bisher mit der Online-PIN und einer TAN autorisiert. Seit September muss jedoch auch beim Login ins Online-Banking zusätzlich zur Benutzerkennung und persönlichen Online-PIN spätestens alle 90 Tage eine TAN eingegeben werden.
Welche Möglichkeiten gibt es zur Generierung einer TAN? Beim sogenannten mobile TAN-Verfahen erhält man eine eigens für die betreffende Überweisung erstellte TAN per SMS auf eine zuvor bei der Bank hinterlegte Handynummer. Eine weitere Möglichkeit sind ist eine von der Bank bereit gestellte TAN-App (zum Beispiel SecureGo App). Darüber empfangen Verbraucher die TAN gesichert auf ihrem Smartphone oder Tablet. Die TAN-Benachrichtigungen sind vergleichbar mit dem mobile TAN-Verfahren. Sie werden jedoch nicht per SMS versandt, sondern in der TAN-App angezeigt. Möglich ist auch das sogenannte Sm@art-TAN-Verfahren, auch chipTAN genannt. Dabei wird die Bankkarte, die einen TAN-Generator enthält, in einen Kartenleser gesteckt, der dann eine TAN-Nummer anzeigt. Eine Weiterentwicklung ist das Sm@rt-TAN photo-Verfahren. Hierfür bekommt man beim Online-Banking einen farbigen Barcode angezeigt. Dieser wird über das spezielle Lesegerät fotografisch gescannt. Danach erscheinen die Überweisungsdaten zur finalen Prüfung sowie die TAN, um die Transaktion abzuschließen.
Die Deutsche Bundesbank zu PSD2
Experteninterview zu PSD2
YouTube-Erklärvideo der Bundesdruckerei zu PSD2